Hackers estão explorando um driver de kernel legítimo, porém há muito revogado, do EnCase em um EDR killer capaz de detectar e desativar 59 ferramentas de segurança.
Um EDR killer é um malware criado para burlar ou desativar soluções de endpoint detection and response (EDR) e outros sistemas de segurança.
Geralmente, ele utiliza drivers vulneráveis para desabilitar as proteções do sistema.
Normalmente, os atacantes aplicam a técnica chamada Bring Your Own Vulnerable Driver (BYOVD), que consiste em inserir um driver legítimo porém vulnerável para obter acesso em nível de kernel e encerrar processos de segurança.
Apesar de ser uma prática bastante conhecida e documentada, os sistemas Windows continuam suscetíveis a esses ataques, mesmo com diversas defesas implementadas pela Microsoft ao longo dos anos.
O EnCase é uma ferramenta de investigação digital usada em operações forenses pela polícia e outras entidades, permitindo extrair e analisar dados de computadores, dispositivos móveis e armazenamento em nuvem.
A ameaça foi identificada por pesquisadores da Huntress durante a resposta a um incidente de segurança neste mês.
Eles detectaram um EDR killer customizado que se disfarçava como um utilitário legítimo de atualização de firmware e utilizava um antigo driver de kernel.
Os invasores acessaram a rede por meio de credenciais comprometidas do SonicWall SSL VPN, explorando a ausência de autenticação multifator (MFA) na conta VPN.
Após o acesso, realizaram uma varredura agressiva na rede interna, incluindo pings ICMP, sondagens de nomes NetBIOS, atividades relacionadas ao SMB e ataques de SYN flooding com mais de 370 SYNs por segundo.
O EDR killer é um executável 64 bits que abusa do 'EnPortv.sys', um driver antigo do EnCase, para desativar ferramentas de segurança no sistema alvo.
O certificado do driver foi emitido em 2006, expirou em 2010 e foi revogado posteriormente.
No entanto, o sistema de Driver Signature Enforcement do Windows valida apenas a assinatura criptográfica e timestamps, sem verificar as listas de revogação de certificados (CRLs), permitindo que o driver ainda seja aceito pelo sistema.
Embora, a partir da versão 1607 do Windows 10, a Microsoft exija que drivers de kernel sejam assinados via Hardware Dev Center, foi feita uma exceção para certificados emitidos antes de 29 de julho de 2015 — exatamente o caso deste driver.
O driver é instalado e registrado como um serviço falso de hardware OEM, garantindo persistência mesmo após reinicializações.
O malware usa a interface IOCTL em modo kernel do driver para encerrar processos de segurança, contornando proteções do Windows como o Protected Process Light (PPL).
Ao todo, ele mira 59 processos relacionados a diversos produtos antivírus e EDR.
O “kill loop” roda a cada segundo, eliminando imediatamente qualquer processo reativado.
A Huntress acredita que o ataque estava associado a uma atividade de ransomware, embora a intrusão tenha sido interrompida antes da implantação da carga maliciosa final.
Como principais recomendações para defesa, destacam-se a ativação da autenticação multifator em todos os acessos remotos, o monitoramento dos logs da VPN para detectar atividades suspeitas e a habilitação do HVCI/Memory Integrity para aplicar a lista de bloqueio da Microsoft contra drivers vulneráveis.
Além disso, é importante monitorar serviços de kernel que se passam por hardware OEM e usar regras WDAC e ASR para impedir a execução desses drivers assinados, porém vulneráveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...